-ż->v GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski Warszawa, dnia "^września 2014 r. DIS/DEC dot. DIS-K-421/23/14 D E CYZJA Na podstawie art. 104 1 i art. 105 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i art. 22 w związku z art. 24 ust. 1 pkt 1,3 i 4, art. 26 ust. 1 pkt 1, art. 36 ust. 1 i art. 41 ust. 1 pkt 3a) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182), 7 ust. 1 i 3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz częścią C pkt XIII załącznika do ww. rozporządzenia, po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Ministra Administracji i Cyfryzacji, I. Nakazuję Ministrowi Administracji i Cyfryzacji usunięcie uchybień w procesie przetwarzania danych osobowych, w poprzez: 1. Przetwarzanie danych osobowych osób zakładających konto w systemie epuap zgodnie z prawem poprzez zapewnienie, aby zakres pozyskiwanych danych od ww. osób w związku z zakładaniem konta we wskazanym systemie był zgodny z zakresem określonym w 3 ust. 1 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. z 2014 r., poz. 584), w terminie 30 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. ul. Stawki 2 00-193 Warszawa i 201) -iń- i 7 l! teł. 860-70-81 fax 860-70-90 www gtodo.gov.pl
2. Dokonanie aktualizacji zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych o nazwie epuap-profil, w części dotyczącej zakresu danych przetwarzanych w tym zbiorze, o adres IP użytkowników systemu epuap, w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna. 3. Dokonanie modyfikacji systemu epuap w taki sposób, aby zapewniał on dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, 0 których mowa w 7 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych 1Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna. 4. Zastosowanie środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia w procesie przypominania loginu oraz hasła do systemu epuap, które są przesyłane w sieci publicznej, w terminie 3 miesięcy od dnia, w którym niniejsza decyzja stanie się ostateczna. II. W pozostałym zakresie postępowanie umarzam. Uzasadnienie Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych przeprowadzili kontrolę w Ministerstwie Administracji i Cyfryzacji z siedzibą w Warszawie przy ul. Królewskiej 27, zwanym dalej Ministerstwem, w celu ustalenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (sygn. akt DIS-K-421/23/14), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182), zwaną dalej ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem. Zakresem kontroli objęto przetwarzanie przez Ministra Administracji i Cyfryzacji danych osobowych w zbiorze danych osobowych o nazwie epuap-profil (zgłoszenie nr R 002022/08). W toku kontroli odebrano od pracowników Ministerstwa ustne wyjaśnienia, skontrolowano systemy 2
informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez Ministra Administracji i Cyfryzacji. Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych Minister Administracji i Cyfryzacji, jako administrator danych, naruszył przepisy o ochronie danych osobowych. Uchybienia te polegały na: 1. Niezawarciu w treści Zakresu i warunków korzystania z epuap informacji o prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Ponadto, błędnie wskazana została siedziba administratora danych (art. 24 ust. 1 pkt 1, 3 i 4 ustawy o ochronie danych osobowych). 2. Pozyskiwaniu od osoby zakładającej konto w systemie epuap danych w zakresie wykraczającym poza zakres określony w obowiązującym wówczas 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 27 kwietnia 2011 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. Nr 93, poz. 546). 3. Zawieraniu umów powierzenia przetwarzania danych osobowych z podmiotami, które status punku potwierdzającego profil zaufany epuap uzyskały na podstawie udzielonej przez Ministra Administracji i Cyfryzacji zgody (art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych). 4. Niezabezpieczeniu danych osobowych przesyłanych za pośrednictwem sieci Internet przed udostępnieniem osobom nieupoważnionym (art. 36 ust. 1 ustawy o ochronie danych osobowych). 5. Niewskazaniu w zgłoszeniu zbioru danych osobowych o nazwie epuap-profil do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w części dotyczącej zakresu danych osobowych przetwarzanych w ww. zbiorze, że zakres przetwarzanych danych osobowych użytkowników systemu epuap obejmuje także adres IP (art. 41 ust. 1 pkt 3a) ustawy o ochronie danych osobowych). 6. Niezapewnianiu przez system epuap odnotowania informacji, o których mowa w 7 ust. 1 rozporządzeniu. 7. Niezapewnianiu przez system epuap sporządzenia i wydrukowania raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w 7 ust. 1 rozporządzenia ( 7 ust. 3 rozporządzenia). 3
8. Niestosowaniu środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej (część C pkt XIII załącznika do rozporządzenia). W związku z powyższym, w dniu 20 maja 2014 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności sprawy (sygn. pisma DIS-K-421/23/14/38689). W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Sekretarz Stanu pismami z dnia 5 czerwca 2014 r., z dnia 20 czerwca 2014 r. i z dnia 11 lipca 2014 r., nr DKSiW-WSWiA.0810.36.2014, złożył wyjaśnienia, w których poinformował, że: 1. Zakres i warunki korzystania z epuap są w trakcie modyfikacji. 2. Prowadzone są prace związane z przebudową systemu epuap. Dokonane będą zmiany mające na celu dostosowanie systemu epuap do przepisów prawa. 3. Zmiany w zakresie przekazywanych danych użytkownikom za pośrednictwem poczty e-mail są wprowadzane do systemu epuap. Po założeniu konta przekazywana jest na adres e-mail użytkownika informacja zawierająca identyfikator użytkownika oraz datę utworzenia konta na platformie epuap. Komunikat przekazywany po złożeniu wniosku o potwierdzenie profilu zaufanego zostanie zmodyfikowany w ten sposób, że będzie zawierał identyfikator użytkownika oraz datę złożenia wniosku. 4. Minister Administracji i Cyfryzacji zwraca się z prośbą o uzupełnienie, w toku postępowania, informacji w zbiorze e-puap Profil w zakresie przetwarzanych w zbiorze danych o adres IP użytkownika. 5. System epuap umożliwia odnotowanie informacji odnośnie identyfikatora użytkownika i daty utworzenia konta na epuap. Pozostałe modyfikacje w zakresie wymaganym przepisem prawa będą mogły zostać wprowadzone po zakończeniu prac związanych z realizacją projektu epuap 2. 6. System epuap umożliwia sporządzenie i wydrukowanie raportu zawierającego dane zgodnie z 7 ust. 1 rozporządzenia. Przedmiotowy raport może zostać wykonany przez administratora posiadającego odpowiednie uprawnienia do pobierania danych z systemu. 7. Obecnie działający profil zaufany zostanie zastąpiony, w trzecim kwartale 2014 r nową wersją profilu zaufanego. Uwierzytelnienie użytkowników do systemu epuap będzie odbywało się w podsystemie Dostawcy Tożsamości (DT) według standardu SAML 2.0. W podsystemie Dostawcy Tożsamości będzie wzmocniony mechanizm przypominania hasła, który będzie dwuskładnikowy (e-mail i SMS) i będzie polegał na tym, że na adres e-mail będzie przesłany link do strony, która umożliwi ustawienie nowego hasła, a informacja przesyłana na e-mail nie 4
będzie zawierała hasła. Dodatkowo do zmiany hasła konieczne będzie podanie jednorazowego kodu wysyłanego za pomocą bramki autoryzacyjnej SMS. W ten sposób zostanie zapewniona ochrona danych wykorzystywanych do uwierzytelnienia użytkowników. 8. Ministrowi właściwemu do spraw informatyzacji, który zgodnie z art. 19a ust. 2 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2013 r., poz. 235 z późn. zm.) jest administratorem danych użytkowników epuap, przysługują uprawnienia ustanowione w art. 31 ust. 1 ustawy o ochronie danych osobowych, a więc uprawnienia powierzenia innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzania danych. Podstawą prawną do zawarcia umów o powierzenie przetwarzania danych jest zatem art. 31 ust. 1 ustawy o ochronie danych osobowych w związku z art. 19a ust. 2 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Za wątpliwy należy zatem uznać pogląd, że dla zawarcia takiej umowy konieczny jest szczególny przepis w rozporządzeniu dotyczącym zasad potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej. Ogólne upoważnienie zawarte w art. 31 ust. 1 ustawy o ochronie danych osobowych do powierzania przetwarzania danych osobowych na podstawie umowy nie zostało na gruncie ustawy o informatyzacji, czy aktów wykonawczych do tej ustawy, w jakikolwiek sposób ograniczone. Wykonanie obowiązków punktu potwierdzającego profil zaufany epuap wymaga dostępu do danych osobowych zgromadzonych w zbiorze danych o nazwie epuap - Profil. Potwierdzanie profilu zaufanego to czynność techniczna polegająca na weryfikacji danych zgłoszonych prze użytkownika na platformie epuap z danymi wynikającymi z posiadanego przez tę osobę dokumentu tożsamości. Tym samym, samo nadanie uprawnień punktu potwierdzającego profil zaufany bez jednoczesnego zapewnienia możliwości przetwarzania danych osobowych zgromadzonych w tym zbiorze uniemożliwiłaby de facto wykonywanie zadań tego punktu. Mając na uwadze konieczność zapewnienia ochrony danych osobowych i zagwarantowania uprawnień osób, których dane dotyczą, Minister Administracji i Cyfryzacji zawarł z tymi podmiotami stosowne umowy. Ponadto, do pisma z dnia 11 lipca 2014 r. Sekretarz Stanu załączył dowody mające potwierdzić usunięcie uchybień stwierdzonych w toku kontroli. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył co następuje: Zgodnie z art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Natomiast w myśl 3 ust. 1 rozporządzenia Ministra Administracji i Cyfryzacji 5
z dnia 6 maja 2014 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz. U. z 2014 r., poz. 584), założenie konta dla użytkownika wymaga podania następujących danych: 1) imienia; 2) nazwiska; 3) adresu poczty elektronicznej, który użytkownik wskazał jako właściwy do wymiany informacji w ramach epuap; 4) identyfikatora użytkownika. Przeprowadzona kontrola wykazała, że osoba zainteresowana założeniem konta w systemie epuap w procesie rejestracji może podać NIP, nr PESEL i adres zamieszkania lub pobytu (nie są one jednak oznaczone jako obowiązkowe). Zawarcie tych danych w formularzu rejestracyjnym jest związane, jak ustalono, z innymi funkcjonalnościami systemu epuap. W przypadku adresu zamieszkania lub pobytu pozyskiwanie tego typu informacji związane jest z wymianą korespondencji między osobą, której te dane dotyczą, a podmiotami administracji publicznej, która może następować z wykorzystaniem tradycyjnej poczty (w ten sposób kierowana będzie korespondencja do tej osoby w sytuacji, gdy będzie ona miała założone wyłącznie konto w systemie epuap bez założonego profilu zaufanego epuap oraz w sytuacji, gdy pomimo posiadania profilu zaufanego epuap wybierze ten sposób doręczania jej korespondencji). Natomiast w przypadku nr PESEL ta informacja jest niezbędna do założenia i uwierzytelnienia profilu zaufanego epuap. Z kolei NIP jest niezbędny dla osób fizycznych prowadzących działalność gospodarczą, jako jedna z tych danych, która je identyfikuje. W związku z powyższymi ustaleniami należy wskazać, że zakres danych, jaki może być żądany od osoby zakładającej konto w systemie epuap, został określony w 3 ust. 1 rozporządzenia Ministra Administracji i Cyfryzacji w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej. Wśród tych danych nie ma jednak NIP, nr PESEL i adresu zamieszkania lub pobytu. W konsekwencji należy uznać, że umożliwienie osobom zakładającym konto w systemie epuap podania tych danych, pomimo nieoznaczenia tych danych jako danych, których podanie jest obowiązkowe, prowadzi do pozyskania od tych osób danych w zakresie wykraczającym poza zakres dopuszczony przepisami ww. rozporządzenia. Jednocześnie należy wskazać, że za podstawę prawną przetwarzania tych danych nie może zostać uznana zgoda tych osób na przetwarzanie ich danych osobowych, znajdująca się w treści formularza rejestracyjnego. Organy administracji publicznej są bowiem zobowiązane do działania na podstawie i w granicach prawa (art. 7 Konstytucji RP) oraz do pozyskiwania tylko tych informacji o obywatelach, które są niezbędne w demokratycznym państwie prawnym (art. 51 ust. 2 Konstytucji RP). Oznacza to, że zbieranie danych osobowych musi znajdować swoją podstawę w przepisach prawa i nie może być rozszerzane za pomocą innych przesłanek dopuszczalności przetwarzania danych osobowych, np. zgody na przetwarzanie tych danych. 6
^CZ/f W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego wskazano, że prowadzone są prace związane z przebudową systemu epuap, a dokonane zmiany będą miały na celu dostosowanie systemu epuap do przepisów prawa. Podjęcie tych działań nie może jednak stanowić podstawy do uznania, że w ww. zakresie przywrócony został stan zgodny z prawem. Administrator danych nadal nie zapewnia bowiem, aby zakres pozyskiwanych danych osobowych od osób zakładających konto w systemie epuap był zgodny z zakresem określonym w 3 ust. 1 rozporządzenia Ministra Administracji i Cyfryzacji w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej. Zgodnie z art. 41 ust. 1 pkt 3a) ustawy o ochronie danych osobowych, zgłoszenie zbioru danych do rejestracji powinno zawierać opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych. W toku kontroli ustalono, że w rejestrze zdarzeń służącym m.in. do rejestrowania aktywności użytkowników systemu epuap odnotowywany jest m.in. adres IP. W zgłoszeniu zbioru danych osobowych o nazwie epuap-profil do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w części dotyczącej zakresu danych osobowych przetwarzanych w zbiorze nie wskazano jednak, że zakres przetwarzanych danych osobowych użytkowników systemu epuap obejmuje także adres IP. W piśmie stanowiącym odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego zawarta została prośba o uzupełnienie, w toku postępowania, informacji w zbiorze e-puap Profil w zakresie przetwarzanych w zbiorze danych o adres IP użytkownika. W związku z powyższym wskazać należy, że stosownie do art. 41 ust. 4 ustawy o ochronie danych osobowych, do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych. Zatem wszelkie zmiany informacji podanych w związku ze zgłaszaniem zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych powinny być dokonywane na formularzu zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych osobowych (Dz. U. Nr 229, poz. 1536). Zgodnie z 7 ust. 3 rozporządzenia, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w ust. 1. Przeprowadzona kontrola wykazała, że pracownicy Ministerstwa Administracji i Cyfryzacji nie posiadali wiedzy, czy system epuap zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w 7 ust. 1 rozporządzenia. W piśmie z dnia 5 czerwca 2014 r. stanowiącym odpowiedź na zawiadomienie 7
o wszczęciu postępowania administracyjnego poinformowano, że system epuap umożliwia sporządzenie i wydrukowanie raportu zawierającego dane zgodnie z 7 ust. 1 rozporządzenia. Przedmiotowy raport może zostać wykonany przez administratora posiadającego odpowiednie uprawnienia do pobierania danych z systemu. Dla potwierdzenia powyższego, w załączeniu do pisma z dnia 11 lipca 2014 r. przedstawiono wydruki z systemu epuap. Przedstawionych wydruków z systemu epuap nie można jednak uznać za raport, o którym mowa w 7 ust. 3 rozporządzenia. Wskazany przepis wymaga bowiem, aby taki raport zawierał wymagane informacje w powszechnie zrozumiałej formie, a więc w postaci umożliwiającej łatwe i jednoznaczne zrozumienie ich treści. Oznacza to, że poszczególne dane powinny być prezentowane w pełnym brzmieniu, poprzedzone nazwą opisową danego pola, a dane nie powinny mieć postaci kodów (por. Wymagania dotyczące struktur baz danych osobowych oraz funkcjonalności zarządzających nimi aplikacji, www.giodo.gov.p1/163/id_art/524/j/pl/). Tymczasem takiej formy nie mają wydruki załączone do pisma z dnia 11 lipca 2014 r. Zgodnie z częścią C pkt XIII załącznika do rozporządzenia, administrator danych obowiązany jest zastosować środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. Przeprowadzona kontrola wykazała, że Minister Administracji i Cyfryzacji nie stosuje wymogów wynikających z powołanego przepisu załącznika do rozporządzenia w zakresie dotyczącym procesu przypominania loginu oraz hasła do systemu epuap. W piśmie stanowiącym odpowiedź na zawiadomienie o wszczęciu postępowania administracyjnego wskazano, że obecnie działający profil zaufany zostanie zastąpiony, w trzecim kwartale 2014 r nową wersją profilu zaufanego. Uwierzytelnienie użytkowników do systemu epuap będzie odbywało się w podsystemie Dostawcy Tożsamości (DT) według standardu SAML 2.0. W podsystemie Dostawcy Tożsamości będzie wzmocniony mechanizm przypominania hasła, który będzie dwuskładnikowy (e-mail i SMS) i będzie polegał na tym, że na adres e-mail będzie przesłany link do strony, która umożliwi ustawienie nowego hasła, a informacja przesyłana na e-mail nie będzie zawierała hasła. Dodatkowo do zmiany hasła konieczne będzie podanie jednorazowego kodu wysyłanego za pomocą bramki autoryzacyjnej SMS. W ten sposób zostanie zapewniona ochrona danych wykorzystywanych do uwierzytelnienia użytkowników. Podjęcie tych działań nie może jednak stanowić podstawy do uznania, że w ww. zakresie przywrócony został stan zgodny z prawem. Administrator danych nadal nie zapewnia bowiem stosowania środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej podczas procesu przypominania loginu oraz hasła do systemu epuap. 8
Jednocześnie, na podstawie złożonych przez Sekretarza Stanu pisemnych wyjaśnień oraz przedstawionych dowodów, należy stwierdzić, że pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania, zostały usunięte, tj.: 1. Zmieniona została treść Zakresu i warunków korzystania z epuap, z którą zapoznają się osoby zakładające konto w systemie epuap w taki sposób, że osoby te są obecnie informowane o prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności podania danych. Ponadto, wskazana została prawidłowa siedziba administratora danych. 2. Ograniczony został zakres danych przekazywanych użytkownikowi za pośrednictwem poczty elektronicznej w związku z rejestracją konta w systemie epuap oraz złożeniem wniosku o nadanie profilu zaufanego epuap. 3. Wykazano, że system epuap zapewnia dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, odnotowanie informacji o których mowa w 7 ust. ł rozporządzenia. Ustosunkowując się natomiast do twierdzeń zawartych w piśmie z dnia 20 czerwca 2014 r., w którym zawarta została odpowiedź na zarzut wymieniony w pkt 3 zawiadomienia o wszczęciu postępowania administracyjnego, wskazać należy na wstępie, że Generalny Inspektor Ochrony Danych Osobowych nie kwestionuje, że Minister Administracji i Cyfryzacji jest administratorem danych użytkowników systemu epuap, zgodnie z art. 19a ust. 2 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne. Z pozostałymi jednak argumentami przedstawionymi w powołanym piśmie nie można się jednak zgodzić. W szczególności należy podkreślić, że z zawarciem umowy powierzenia wiąże się przekazanie przez administratora danych innemu podmiotowi do wykonywania określonych operacji na danych osobowych, do których ten administrator jest uprawniony. Tymczasem zgodnie z obowiązującymi przepisami Ministrowi Administracji i Cyfryzacji nie przysługuje status punktu potwierdzającego profil zaufany epuap. Zatem, skoro Minister Administracji i Cyfryzacji nie jest uprawniony do przetwarzania danych osobowych w celu związanym z potwierdzaniem profilu zaufanego epuap, to nie może w konsekwencji powierzać innym podmiotom na podstawie umowy przetwarzania danych osobowych w takim celu. Obecnie w świetle art. 20c ust. 3 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne (a wcześniej 4 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie zasad potwierdzania, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej) Minister Administracji i Cyfryzacji jest uprawniony wyłącznie do udzielania zgody na wykonywanie zadań punktu potwierdzającego profil zaulany epuap przez podmioty wymienione w tym przepisie. W świetle powyższego, bez znaczenia jest fakt, podnoszony w odpowiedzi na 9
zawiadomienie o wszczęciu postępowania administracyjnego, że potwierdzanie profilu zaufanego epuap jest w zasadzie czynnością techniczną, polegającą na weryfikacji danych zgłoszonych przez użytkownika na platformie epuap z danymi wynikającymi z posiadanego przez tę osobę dokumentu tożsamości. Należy także podkreślić, że w przypadku organów publicznych nawet gdy dane zadanie należy do kompetencji określonego organu, to zlecenie realizacji tego zadania innemu podmiotowi (i w konsekwencji powierzenie mu przetwarzania danych osobowych) nie może następować w sposób dowolny, bez umocowania w przepisach prawa w tym zakresie. Podnieść również należy, że podmioty mające status punktów potwierdzających profil zaufany e-puap dysponują podstawą prawną do przetwarzania danych osób, których profil zaufany mają potwierdzić, o której mowa w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Wskazana podstawa wynika z art. 20c ust. 1 ustawy o informatyzacji działalności podmiotów realizujących zadania publiczne oraz 4 rozporządzenia Ministra Administracji i Cyfryzacji w sprawie zasad potwierdzania, przedłużania ważności, unieważniania oraz wykorzystania profilu zaufanego elektronicznej platformy usług administracji publicznej. Oznacza to w konsekwencji zbędność zawierania z tymi podmiotami przez Ministra Administracji i Cyfryzacji umów powierzenia przetwarzania danych osobowych. Należy w tym miejscu wskazać także na pewną niekonsekwencję Ministra Administracji i Cyfryzacji w omawianym zakresie. Otóż bowiem umowy powierzenia przetwarzania danych osobowych zawarte zostały wyłącznie z podmiotami, które status punktu potwierdzającego profil zaufany epuap uzyskały na podstawie zgody Ministra Administracji i Cyfryzacji. Takie umowy nie zostały natomiast podpisane z podmiotami, którym taki status przysługuje wprost z przepisów prawa, bez potrzeby uzyskiwania zgody Ministra Administracji i Cyfryzacji, pomimo tego, że zasady potwierdzania profilu zaufanego epuap, jak i konieczność zapewnienia ochrony danych osobowych, przez podmioty należące do obu tych grup są identyczne. Biorąc jednak pod uwagę, że w praktyce zawieranie umów powierzenia przetwarzania danych osobowych z podmiotami, które uzyskały status punktu potwierdzającego profil zaufany e-puap w oparciu o zgodę wyrażoną przez Ministra Administracji i Cyfryzacji nie ma wpływu na istnienie podstawy prawnej dla tych podmiotów do przetwarzania danych osobowych osób potwierdzających profil zaufany e-puap (podstawa taka, jak wskazano powyżej, wynika z przepisów prawa), to należy uznać, że tym samym nie dochodzi do naruszenia przepisów o ochronie danych osobowych. W konsekwencji należało postępowanie w tym zakresie umorzyć. 10
Stosownie do art. 105 1 Kodeksu postępowania administracyjnego, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Przesłanką umorzenia postępowania, na podstawie art. 105 1 k.p.a., jest bezprzedmiotowość postępowania z jakiejkolwiek przyczyny, czyli z każdej przyczyny powodującej brak jednego z elementów materialnoprawnego stosunku prawnego w odniesieniu do jego strony podmiotowej lub przedmiotowej (wyrok NSA z dnia 21 stycznia 1999 r., SA/Szl029/97). W toku postępowania usunięte zostały pozostałe uchybienia w procesie przetwarzania danych osobowych, stanowiące przedmiot postępowania i dlatego w tym zakresie należało je umorzyć. Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2 Kodeksu postępowania administracyjnego, strona niezadowolona z mniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji. W razie niewykonania decyzji w terminie zostanie wobec podmiotu zobowiązanego do jej wykonania wszczęte postępowanie egzekucyjne na podstawie przepisów ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r Nr 229, poz. 1954 z późn. zm.). 0,0 * d 'i' <38 LOAśAp' Z.. S C ro P AC. f - r STARSZY INSPEKTOR Jacek Mlotkiewi A C.0%. h.
Otrzymują: 1. Minister Administracji i Cyfryzacji, ul. Królewska 27, 00-060 Warszawa. 2. A/a. 13